新经济与法|平台使用和流通个人数据要避免违法

在《网络安全法》《数据安全法》《个人信息保护法》均已出台的当下,集合了大量个人信息的各类平台直接面临着个人信息保护的“难关”。
在信息快速流动、各平台紧密联系的今天,个人数据已经不仅仅被存储在某一独立平台中。比起被平台内部利用,数据更需要在平台间的流动中发挥其价值,这一般需要通过平台间数据迁移才能实现。根据将于2021年11月1日正式实施的《个人信息保护法》第二十三条的规定,由于数据迁移涉及到向作为个人信息处理者的其他平台主体提供个人信息,因此适用此条款,应取得个人的单独同意。
对此,本文对平台处理个人数据时应取得单独同意的情形展开分析。
一、什么是单独同意?
根据《个人信息保护法》的立法说明,《个人信息保护法》确立了以“告知—同意”为核心的个人信息处理系列规则。对于《个人信息保护法》未作特别规定的一般信息,个人信息处理者只需要满足两个条件即可处理个人信息:一是个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知有关个人信息处理者和信息处理的事项,二是个人应当在充分知情的前提下自愿、明确作出该同意。
但个人信息处理者告知方式的“清晰易懂”和个人同意前提的“充分知情”之间,本身就存在着矛盾。清晰易懂地告知,意味着用户阅读时间的冗长,而大量信息的一次性输入反而可能对用户的理解造成干扰。从用户的实际体验来看,也许用户会在最开始的几次选择中维持认真阅读的状态,但随着阅读此类告知的次数增多,用户更多地开始“应付式”选择同意,这种行为模式符合心理学上的知觉定式和边际递减效应。
对于由平台一次性告知但常常在用户的忽视中直接同意的一般信息,《个人信息保护法》为用户设置了“反悔”的权利,即用户的撤回权。但对用户来说,撤回平台已经获得并处理的信息与直接拒绝平台处理或利用信息带来的效果显然是天差地别的。为此,针对处理个人信息中的敏感个人信息等特殊情形(详见下文梳理表格),《个人信息保护法》对个人信息处理者提出了额外的要求——应当取得个人的单独同意。
顾名思义,单独同意对个人信息处理者的告知方式和个人的同意方式提出了更高要求,即,个人信息处理者在征得个人同意时必须就法律规定应当取得单独同意的事项单独取得个人的同意,个人能够独立于其他个人信息处理行为及规则自由地作出同意。从实践上看,单独同意的要求主要是为规避个人信息处理者一揽子告知同意的做法。
二、哪些情形应单独同意?
根据《个人信息保护法》,我们总结出以下平台采集处理个人数据时必须单独同意的事项:此外,根据《个人信息保护法》第三十一条的规定,“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。”这是对未成年人个人信息的特别保护。
三、单独同意的例外情形
虽然单独同意事项是一般同意事项中的特殊情形,但在实践中,某些被认为发生在单独同意事项中的情形,并不需要获得个人的单独同意。这些单独同意的例外情形如下表:四、与个人同意有关的其他情形(默认同意及拒绝权)
除了前文所述的一般同意与单独同意外,《个人信息保护法》为用户对平台处理其信息的行为设置了第三种同意路径,即默认同意,并赋予用户拒绝权,此路径的适用范围很小,主要针对《个人信息保护法》第二十七条。
《个人信息保护法》第二十七条默认个人同意个人信息处理者对其自行公开或合法公开的个人信息进行处理,但这种默认同意是有限制的:首先,个人信息处理者只能在合理的范围内处理已公开的个人信息;其次,个人信息处理者可处理的个人信息仅限于对个人权益无重大影响的信息;最后,当个人明确拒绝个人信息处理者对其公开信息的处理时,个人信息处理者不能对其信息进行处理。
根据《个人信息保护法》第四十四条,有权限制或者拒绝他人对其个人信息进行处理。此处的“他人”不应当认为包括个人信息处理者,原因在于,根据《个人信息保护法》第十三条,个人信息处理者能够处理个人信息的基础要么是个人的同意,要么是法定的情形。针对前者,个人享有撤回权,针对后者,个人无法拒绝。
《个人信息保护法》规定的另一个用户的拒绝权在于《个人信息保护法》第二十四条。根据该条款,平台通过自动化决策方式向个人进行信息推送、商业营销时,平台应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。也就是说,用户要么能获得平台推送或营销的其他选项,要么能便捷地拒绝平台的推送或营销。该条款还规定,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。也就是说,对于平台通过自动化决策方式作出的对用户权益有重大影响的决定,用户可以要求平台予以说明,也可以拒绝平台的决定。
五、平台数据迁移的优化路径
从《个人信息保护法》开始制定草案到正式通过,我们已认识到,中国对个人数据安全愈发重视且监管趋严的态度。这对各平台来说,既是进行合规改革的挑战,又是进行合规风险规避的机遇。以平台采集处理个人数据时必须“单独同意”的事项为例,如向第三方提供、公开、收集个人图像、身份特征信息用于公共安全之外目的,处理敏感个人信息,向境外提供,这些事项必须“单独同意”,这为个人信息安全提供了保障,另一方面也为行业的规范发展提出了要求,而这两者都是促进行业向好、向广发展所必需的。
征得个人单独同意虽能为个人的信息安全和选择自由提供保障,与此同时,却也会带来行业效率降低的隐忧。信息时代,平台间的数据迁移非常普遍,针对这种个人信息处理者向其他个人信息处理者一次性提供大量数据的情形,个人的“单独同意”是否会成为平台高效率完成数据迁移的阻碍呢?为此,我们需要探索数据迁移的优化路径。
我们发现,征得个人“单独同意”并不一定导致取得授权的效率变低,反而可能出于行业的规范发展和用户的信赖而更快更好地达成目的。平台需要做到两方面:一方面,平台要细化且落实告知同意规则,通过翔实的告知内容避免平台告知与用户同意之间的拉扯,也避免后续可能出现的纠纷。另一方面,平台可确立数据流通规则体系,在引入管制规则和责任规则的基础上,鼓励数据在流通中得到利用,并使其在流动中发挥出价值。经此,我们希望,《个人信息保护法》的通过能为相关行业的发展带来新的活力。
(高亚平律师团队来自德恒上海律师事务所 )

骚鸭资讯全部来源于网络,请注意识别,谨防上当受骗。


骚鸭AV,关注天下事(saoyaav.com)